Data Domain:Web UI 因 https 憑證過期而無法存取
Resumo: 當 Data Domain 上的 https 或「ca trusted-ca」憑證到期時,在嘗試存取 Web UI 時會導致問題。 產生新憑證可解決此問題。
Este artigo aplica-se a
Este artigo não se aplica a
Este artigo não está vinculado a nenhum produto específico.
Nem todas as versões do produto estão identificadas neste artigo.
Sintomas
- 您可能會看到
404 HTTP憑證到期時發生錯誤或其他 Apache Web 服務:
- 可能會出現其他錯誤,例如資源無法使用。
- 通常,UI 是不可訪問的。
- 問題也會顯示為使用者在 UI 上登入失敗。
Causa
當 HTTPS 或 Data Domain 上的 CA 憑證到期,這會導致 Apache Web 伺服器發生問題。這會使UI關閉並使其無法訪問。
Resolução
注意:如果 CA 憑證已過期,您將需要 sysadmin 認證給先前與此 DD 建立信任的任何 Data Domain 或 PowerProtect DD Management Center。在嘗試執行此程序之前,請確定登入資料可用。
如果此 Data Domain 位於整合式 Data Protection Appliance 或 Cyber Recovery 存放庫組態中,請考慮這些系統如何使用憑證監控 Data Domain。憑證到期並新增憑證後,可能需要支援。
不需要擔心 DLm 解決方案中的 Data Domains,因為 DLm 不需要也不使用 HTTP or HTTPS 與 Data Domain 通訊的權限。Data Domain 上的憑證更新可在不中斷 DLm 磁帶掛載程序的情況下執行。
- 檢查是否
HTTPS或 CA,或兩個憑證都已過期:
sysadmin@DD6400# adminaccess certificate show
Subject Type Application Valid From Valid Until Fingerprint
-------------------------------------------------- ------------- ----------- ------------------------ ------------------------ -----------------------------------------------------------
DD6400.ddsupport host https Thu Sep 11 22:30:27 2025 Sun Oct 11 22:30:27 2026 30:89:8A:9D:BD:67:75:DC:D8:98:84:C6:CD:8F:9F:21:34:24:1B:87
DD6400.ddsupport ca trusted-ca Tue Oct 08 07:42:22 2024 Mon Oct 07 07:42:22 2030 81:5B:70:A8:36:02:02:FD:55:13:DA:7C:38:BC:FF:1B:EA:92:3E:96
HTTPs 主機憑證的有效期為 1 年,CA 憑證的有效期為 6 年。
-
如果未過期,UI 可能會因為以下問題而關閉:
- 如果證書足夠舊,它將不符合新的證書安全標準,並且不會出現 GUI。我們需要依照後續步驟產生新憑證。
- Data Domain:升級至 DDOS 或 DDMC 6.2.1.90、7.2.0.95、7.7.2.x 或更新版本後,無法再存取 UI
- 如果 CA 憑證已過期,請檢查已建立的信任:
sysadmin@DD6400# adminaccess trust show
Subject Type Valid From Valid Until Fingerprint
----------------------- ---------- ------------------------ ------------------------ -----------------------------------------------------------
DD6400.ddsupport trusted-ca Tue Oct 08 07:42:22 2024 Mon Oct 07 07:42:22 2030 81:5B:70:A8:36:02:02:FD:55:13:DA:7C:38:BC:FF:1B:EA:92:3E:96
DDMCLAB-2.201 trusted-ca Mon Jul 08 03:02:34 2024 Sun Jul 07 03:02:34 2030 E8:C1:79:5B:B4:2A:02:3A:55:4A:9A:52:AB:FC:D2:01:E7:7A:6C:CA
CorkDDMC.localdomain trusted-ca Tue Aug 06 04:29:41 2024 Mon Aug 05 04:29:41 2030 4B:29:2B:D3:DB:3E:62:16:98:D1:6C:36:4C:DF:2F:94:3C:A1:A8:27
DD6900-2.ddsupport.emea trusted-ca Sat Feb 03 20:49:25 2024 Fri Feb 01 20:49:25 2030 DC:95:CC:4A:F4:AC:58:58:5E:19:2D:05:F3:99:D9:86:14:32:7F:88
DD9900-HA-P0.ddsupport trusted-ca Sat Oct 05 05:08:35 2024 Fri Oct 04 05:08:35 2030 38:FD:E8:B6:C6:2F:30:42:17:93:73:F5:AE:25:3D:53:3E:F5:5C:C4
----------------------- ---------- ------------------------ ------------------------ -----------------------------------------------------------
您會看到目前 Data Domain 的憑證 (按其主機名稱),以及其他 Data Domain 或 PowerProtect DD Management Center 的憑證。如果必須重新建立這些信任,則使用者需要在產生新的 CA 憑證後,為信任配對中的任何 Data Domain 或 Data Domain Management Center 提供 sysadmin 密碼。某些信任可能已從舊的複製上下文中過時,不需要重新添加。
- 檢查是否
HTTPS憑證是自我簽署憑證,或者如果使用者使用認證機構 (CA) 簽署憑證:
# adminaccess certificate show imported-host application https
如果此命令返回任何內容,則使用者使用 CA 對證書進行外部簽名。如果沒有匯入的主機憑證,則代表憑證為自我簽署。
即使匯入的憑證有效且未過期,如果自我簽署憑證已到期,您仍須按照接下來的幾個步驟續約。DD UI 內部也會使用自我簽署主機憑證,以在內部與 SMS 服務通訊。
重要注意事項:自我簽署主機和 CA 憑證必須位於系統上,即使它們未在使用中,您也無法刪除或移除自我簽署憑證,以防系統必須回復至它們。這是根據設計運作。
- 如果
HTTPS憑證已在外部簽署,請產生新的憑證簽署要求 (CSR)。使用者會將此資訊傳送到其 CA 進行簽署,然後將已簽署的憑證匯入回 Data Domain。請遵循文章 Data Domain:如何產生憑證簽署要求和使用外部簽署憑證。-
DDOS 支援一個主機憑證可用於
HTTPS。如果系統使用的是包含自簽名的主機證書,並且使用者想要使用其他主機證書,請先刪除當前證書,然後再添加新證書。步驟:
- 在刪除
HTTPS主機證書。 - 執行命令行介面 (CLI) 命令以刪除憑證
adminaccess certificate delete imported-host-application https
- 在刪除
-
- 如果 CA 憑證已過期,且這是 HA 系統,則需要聯絡支援以修正憑證。否則,請重新產生新的
HTTPS和使用此命令的 CA 憑證:
# adminaccess certificate generate self-signed-cert regenerate-ca
請注意,生成後,有效的開始日期為 HTTPS 憑證是過去一個月,CA 憑證是過去一年,這是設計使然。
然後前往步驟 8 以重新啟動 UI 服務。
- 如果憑證為自我簽署,且只有
HTTPS憑證已到期,且這是 HA 系統,請遵循此 KB:
Data Domain:以降級狀態執行的 HA 系統,自我簽署主機憑證已過期
否則,請重新產生新的HTTPS憑證:
# adminaccess certificate generate self-signed-cert
請注意,生成後,有效的開始日期為 HTTPS 證書是過去一個月的證書,有效期為 1 年,這是設計使然。
- 如果重新生成 CA 證書,用戶必須重新建立所需的任何信任。PowerProtect DD Management Center 需要信任才能進行監控,以及何時使用 UI 設定複寫。如果是這樣,用戶必須建立信任才能正常工作。
- 針對任何需要信任的 Data Domain 或 Data Domain Management Center,請執行此命令以刪除舊的信任,然後使用目前 Data Domain 上的新憑證重新建立信任 (這會要求其他 Data Domain 或 Data Domain Management Center 上的 sysadmin 密碼。請確定使用者擁有所有的 Data Domain 或 Data Domain Management Center,或刪除已解除代理的任何 Data Domain 或 Data Domain Management Center 的信任,而不加回。使用不帶
type mutual執行此操作時。
# adminaccess trust del host <hostname of other DD/DDMC> type mutual
然後執行此命令以建立新的信任:
# adminaccess trust add host <hostname of other DD/DDMC> type mutual
對於上述範例,請執行 add 和 del 所有其他 Data Domain 或 Data Domain Management Center 依次發生。
# adminaccess trust del host sc-dd2500-2.lss.emc.com type mutual # adminaccess trust add host sc-dd2500-2.lss.emc.com type mutual
如果使用者因為 Data Domain 已解除代理而不得再次新增信任:
# adminaccess trust del host dd690.dssupport.emea
- 重新建立信任後 (如有需要),請重新啟動 UI 服務:
# adminaccess disable http # adminaccess disable https # adminaccess enable https # adminaccess enable http
注意:從版本 8.3 及更新版本開始, HTTP 預設為停用。如果未使用,則不需要啟用。HTTPS 是訪問UI的首選和安全方法。
- 使用者介面現在應該可以訪問。
如何重新開機 HTTP 或 HTTPS 無法使用 UI 時的服務 - Dell Data Domain。
持續時間:00:03:17 (小時:分鐘:秒)
當可用時,您可以使用此影像播放器上的 CC 圖示來選擇隱藏式輔助字幕 (字幕) 語言設定。
您也可以在 YouTube上觀看此視頻。
Produtos afetados
Data DomainPropriedades do artigo
Número do artigo: 000198864
Tipo de artigo: Solution
Último modificado: 10 mar. 2026
Versão: 21
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.